摘 要:ARP攻击是近年来局域网环境中常见的安全问题,轻则影响网络通信速度或致瘫痪,重则造成用户信息的外泄。本文从ARP工作原理入手,分析局域网中利用ARP进行伪装欺骗实施攻击的原理,对是否遭遇了ARP攻击进行判断,提出了针对ARP欺骗的诊断分析与防御方法。
关键词:ARP;欺骗分析;防御方法
协议及其工作原理
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。ARP是处于数据链路层的网络通信协议,在本层和硬件接口联系并对上层提供服务。在局域网中,网络中实际传输的是“帧”,帧里有目标主机的MAC地址。在以太网中,一台主机要和另一台主机进行直接通信,必须知道目标主机的MAC地址。目标MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程,也就是将局域网中32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,ARP的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信畅通[1]。
在安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址一一对应,如表1。这里以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例来说明ARP的工作原理。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址,若找到,也就知道了目标MAC地址,直接把目标MAC地址写入帧里发送即可;若在ARP缓存表中没有
找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“”,这表示向同一网段内的所有主机发出这样的询问“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样能减少ARP缓存表的长度,加快查询速度。
攻击现象及确认
受到ARP攻击的表现是:局域网突然断线不能上网,不经处理过一段时间后又可恢复,网速很慢;局域网中用户频繁断线,浏览器出现错误,QQ、MSN、飞信等软件会出现故障,时断时通;在局域网中需要身份认证的上网,会突然提示需要认证,但是还是不能上网;使用ping命令,无法ping通网关。受到ARP攻击出现的另一现象是,不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。当出现这两种现象只要重启路由即可恢复上网,但ARP攻击没有被清除时,过一段时间后,网络又会掉线。
当出现上述现象,可通过下列方法确认:①持续ping不能访问的IP地址。在被攻击对象的DOS窗口中输入“ping目标主机IP地址-t”来检测网络的连通性,若屏幕提示“Request time out”表明正在遭受攻击。②在被攻击对象上重新开启一个DOS窗口,输入“arp–d”,清除本机上所有的IP和MAC地址的对应。此时若在ping指令的DOS上持续出现“Reply from…”表明曾受到ARP攻击,现已正常;如果仅出现一次“Reply from…”后变成“Request time out”,则表明还在受到持续不断的ARP攻击。③用ARP查询时发现不正常的MAC地址,或错误的MAC地址对应,另外一个MAC地址对应多个IP的情况也会出现[2]。
攻击的原理和种类
ARP攻击就是通过伪造IP和MAC地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP报文达到更改目标主机ARP缓存中的IP-MAC条目的目的,从而就可造成网络中断或中间人攻击。
为了快速查询,ARP缓存中只保存少量IP与MAC地址的映射,删除最近不使用的记录,保持动态更新。由于ARP设计原因,存在以下缺陷:对于数据接受者来说,即使在没有发出ARP请求的情况下,主机仍然无条件地被动接受数据包,并不验证对方数据包的真实性,就进行ARP缓存动态更新;另外,对于发送数据者来说,主机可随意发送伪造的ARP数据。由于ARP协议是无状态的,没有连接的,可信任的,没有安全机制的协议,这给计算机系统埋下了安全隐患。以下举例说明一个ARP欺骗过程。
局域网中的3台主机HA、HD和HS,对应的IP地址和MAC地址分别为IPA、IPD、IPS和MA、MD和MS。此时,主机HS需要与主机HD通信,在HS的ARP缓存中没有主机HD的MAC地址。那么主机HS就向局域网内发送一个广播信息“我是主机HS,IP地址为IPS,MAC地址为MS,需要知道IP地址为IPD的主机的MAC地址”。正常状态下,只有主机HD会答复这个广播请求,告诉主机HS,其IP地址是IPD,MAC地址是MD。如果HA电脑不冒充HD电脑,而是冒充网关,局域网中的其它电脑都会更新自身的ARP缓存表,将HA电脑当成网关。局域网的电脑要连接外网,都要经过局域网的网关进行转发,这样当它们发送数据给网关,结果都会发送到HA这台电脑中。这样,HA电脑就将会监听整个局域网发送给互联网的数据包。另外还有些恶意的ARP攻击者,制作一些ARP攻击软件,例如执法官、终结者等软件,恶意攻击别人计算机,造成网络中断,甚至瘫痪。以下是ARP攻击的主要方式:
(1)ARP中间人攻击。攻击者主机隐藏在其它主机之间,成为“中间人”。如有三台主机:A、D和S。主机S与主机D进行通信,主机A是攻击者。主机A分别向主机S和主机D发送虚假的ARP数据包,使他们分别相信:主机A就是他们需要进行通信的主机S或主机D。当主机S和主机D进行通信时,主机A在他们之间建立了一种桥梁关系,即把S-D的通信方式变成为S-A-D。这样主机A成了他们的“中间人”,可以进行数据窃取等行为。
(2)拒绝服务攻击(DoS)。攻击者主机不断地发送大量无用的ARP数据包,迫使目标主机忙于响应异常请求,从而导致目标主机资源耗尽,无法对外提供正常服务。如果目标是网站服务器,那么可能造成客户机无法访问网页。这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上不会出现真实的IP攻击的同时,也不会影响到本机[3]。
4.防范ARP攻击的措施
要有效的防范ARP病毒攻击,关键在于如何获取合法用户和网关的IP-MAC对应关系,并如何利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。本文提出如下防范方案:
1、划分VLAN的方式。ARP欺骗只能给相同网段的主机造成影响,而大多数服务器和客户机在不同网段,所以受影响的只是部分客户机。在同一个局域网中,管理员可以划分多个VLAN,并使每个VLAN中的主机尽可能少,这样就可以尽可能地减少ARP欺骗造成的影响,同时,又能很快地查到问题主机。
2、加强日常管理和系统维护。①养成良好的上网习惯,及时安装系统漏洞补丁,关闭不必要的端口和共享服务,升级到最新的病毒和木马库,不随意点击网络上的可疑文件和链接,也能有效地减少ARP欺骗病毒的传播。②可采用360安全卫士等防火墙进行连续的网络监控,也可用专业ARP防火墙。
3、使用ARP服务器。在局域网中,指定一台计算机作为专用ARP服务器,可信范围内的所有主机的IP与MAC地址映射记录都在ARP服务器上进行保存和记录。使所有主机的ARP配置只能接受来自服务器的ARP响应。当有ARP请求时,该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的发生。但要保证ARP服务器不被攻击,另外要保证主机只接受指定ARP服务器的响应报文[4]。
4、网关定期发送免费ARP。ARP表项都有老化期,每经过一段时间就要更新一次,所以通过网关定期发送免费ARP,告诉主机网关的真实信息,来防止伪装成网关的ARP欺骗。该方式对频繁发送ARP欺骗攻击的情况抑制能力较弱。
5、主动查询。在某个正常时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常。定期检测交换机的流量列表,查看丢包率。ARP本身不能造成多大的危害,一旦被结合利用,其危险性就不可估量了。由于ARP本身的问题,使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量是个很好的习惯。
6、ARP欺骗主要是由于某一主机的欺骗,造成目的主机错误地更新了自己的ARP列表。为此,ARP欺骗的防御重点应该放在目的主机拒绝伪造的ARP应答上。局域网中ARP欺骗的有效防御需在本机和网关设备进行双向绑定,缺少任何一方都将达不到有效防御的效果。
6.1在本机上绑定网关和本机的IP与MAC。在IP+MAC基础上,建立一个静态的ARP列表,在其中写入本机和网关的IP-MAC对应地址,使其不随ARP列表的刷新而改变。使用arp命令静态绑定本机和网关的MAC,格式如下: arp-s本机IP本机MAC arp-s网关IP网关MAC。给机房大批量的PC机做IP-MAC绑定,可编写一个简单的批处理文件然后让它每次开机时自动运行(批处理程序略)。
6.2建立MAC地址数据库,禁止网关设备ARP动态更新。不同局域网机房内外网组网方式不尽相同,这里通过代理服务器的组网方式来说明在网关建立静态IP-MAC捆绑的方法。
6.2.1建立MAC地址数据库。通过代理服务器收集所有连接的PC机的网卡的MAC地址并记录,内容包括MAC、IP、机器名等。收集可在机房所有机器运行时,在代理服务器上运行批理:“arp-a>”,将生成的文本文件保存,以便及时查询备案。
6.2.2禁止网关设备ARP动态更新。为了防止非法用户使用ARP欺骗攻击代理服务,还应在代理服务器上对所有上网主机进行静态IP-MAC绑定,确保代理服务器安全。即在代理服务器上建立一个PC机的IP-MAC绑定开机批处理。
5.结束语
ARP欺骗利用ARP机制的缺陷主要传播于机房、网吧等局域网环境,目前仍然没有完全有效的防止ARP欺骗的方法,掌握几种防范ARP攻击的方法有助于更安全的使用网络,将可能遇到的ARP攻击造成的灾害损失降到最低。同时,在使用网络的过程中,时刻保持清醒的意识,监测网络的运行状况。采取主动防御的态势,增强网络安全知识,提高自身技术水平,确保网络安全运行。
参考文献:
[1]王斐人,李 毅.简述ARP原理与防范[J].网络与信息, 2009(2):37.
[2]胡志新.浅谈企业网络中ARP欺骗的防范[J].江西电力,2010(3):49-51.
[3]曾晓华,张宁丹.基于ARP协议的攻击分析和防范策略探讨[J].硅谷, 2009(4):73.
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。 返回通信学论文列表